Detekcia OS
Jedna z najznamejsich funkcii Nmapu je vzdialena
detekcia OS pomocu fingerprintingu stacku TCP/IP. Nmap odosiela vzdialenej hostitelskej stanici
rad TCP a UDP paketov a potom skuma kazdy bit odpovedi.
Po vykonani serie testov ako napr. sampling TCP
ISN, poradie a podpora moznosti TCP, sampling IPID a
pociatocna kontrola velkosti okienka porovnava Nmap vysledky so databazou
nmap-os-fingerprints
skladajucej sa z viac ako 1500 znamych
odtlackov OS a pri zhode zobrazi podrobnosti o OS.
Kazdy fingerprint zahrna textovy popis OS vo volnom formate a klasifikaciu poskytujucu
nazov vyrobcu OS (napr. Sun), zakladny typ OS
Each fingerprint includes a freeform textual description of the
(napr. Solaris), generacia OS (napr. 10) a typ zariadenia (bez specialneho ucelu, router, switch, herna konzola,
atd).
Ak Nmap nedokaze odhadnut OS pocitaca a podmienky su pritom dobre (napr. zistilo sa, ze aspon 1 port je otvoreny a aspon 1 zatvoreny), Nmap poskytne adresu URL, na ktorej mozete zadat fingerprint, ak ste si isty OS beziacom na vasom pocitaci. Tymto prispievate do mnoziny operacnych systemov znamych Nmapu a proces sa spresnuje pre kazdeho dalsieho.
Detekcia OS umoznuje vykonanie niekolko dalsich testov, ktore vyuzivaju informacie vzdy nadobudnute
tymto procesom. Jednym z nich je merania uptimu, ktore na odhadnutie casu od posledneho
restartovania pocitaca vyuziva moznost TCP timestamp
(RFC 1323). Parameter sa oznamuje len pre pocitace, ktore poskytuju tuto informaciu. Dalsim z nich je
TCP Sequence Predictability Classification - Klasifikacia predvidatelnosti TCP sekvencie.
Toto meranie zistuje, ake je narocne nadviazat falosne TCP spojenie so vzdialenou hostitelskou
stanicou a je uzitocne na zistovanie slabin relacii, ktore stavaju doveru na
zdrojovej IP adrese (rlogin, firewall, filtre, atd.) alebo takisto je uzitocne kvoli moznosti
ukryvania zdroja utoku. Tento typ falsovania sa dnes vykonava zriedkavo, no mnohe
pocitace su na to stale zranitelne. Vlastne cislo obtiaznosti je zalozene ne statistickom vzorkovani
a moze sa menit. Vseobecne je lepsie pouzit anglicku klasifikaciu, napr.
“worthy challenge” - hodne vyzvy alebo “trivial joke” - jednoduchy zabava.
Normalne sa to oznamuje len v mode verbose (-v
).
Ak sa povoli verbose mod sucasne z parametrom -O
, oznamuje sa aj Vytvaranie
sekvencie IPID. Vacsina pocitacov sa nachadza
“inkrementalnej” triede, co znamena, ze zvysuju
cislo policka ID v IP hlavicke kazdeho odoslaneho paketu, co z nich robi zranitelne ciele pre niektore pokrocile utoky,
ktore su zalozene na zbere informacii a falsovani.
Dokument popisujuci cinnost, pouzitie a priposobenie
detekcie verzie je dostupny vo viacerych jazykoch na adrese.https://nmap.org/osdetect/
.
Detekcia OS je povolovana a ovladana nasledujucimi moznostami parametrov:
-
-O
(Povolit detekciu OS) Umozni detekciu OS podla vyssie opisaneho rozboru. Alternativne sa pouzitim parametra
-A
umozni detekciu OS aj verzie.-
--osscan-limit
(Obmedzit detekciu OS len na slubne cielove stanice) Detekcia OS je ovela efektivnejsie, ak je zisteny aspon 1 port otvoreny a 1 port zatvoreny. Po nastaveni tohoto parametra sa nebude vykonavat detekcia OS na pocitacoch, ktore nesplnaju tieto kriteria, cim sa da usetrit podstatny cas, hlavne pri scanoch s parametrom
-P0
aplikovanych na mnohych hostitelskych staniciach, no je to dolezite len ak sa pre detekciu OS zada parameter-O
alebo-A
.-
--osscan-guess
;--fuzzy
(Odhadnut vysledky detekcie OS) Ak je Nmap nedokaze detekovat uplnu zhodu s OS, niekedy navrhne dalsie co najblizsie zhody ako moznosti. Nmap to normalne vykonava, len ak je zhoda velmi podobna. Kazda z tychto dvoch ekvivalentnych moznosti sposobi agresivnejsi odhad Nmapu.